Mobile-Sicherheit im Wandel

App_Sicherheit_am_Arbeitsplatz_Whitepaper_mTrust-665x1024
Lange Zeit stand die reine Verwaltung und Absicherung von Geräten im Mittelpunkt des Einsatzes von Smartphones und Tablets im Unternehmen. Die Apps wurden dabei stets in den Hintergrund gestellt, obwohl sie als Antreiber für die Entfaltung des vollen Potenzials der Geräte den entscheidenden Faktor darstellen. Unternehmen haben erkannt, dass es ohne Consumer Apps häufig nicht geht und Mitarbeiter diese aktiv einfordern. Daher ist es notwendig sich aktiv mit den Risiken von Consumer Apps zu befassen.

 

Consumer Apps werden im Regelfall über die öffentlichen App Stores bezogen. Obwohl bei einigen App Stores eine Überprüfung der Apps sattfindet, wird Datenschutz und Datensicherheit maximal als Randerscheinung betrachtet. Dieser Eindruck wird auch bestätigt wenn man einen Blick auf die kürzlich veröffentlichten Guidelines des Apple App Store wirft. So sucht man Informationen zu Sicherheitsanforderungen in den Guidelines vergebens [1]. Folglich erfüllen Consumer Apps oft nicht die Sicherheitsanforderungen von Unternehmen.

Dies ist allerdings anhand der Informationen aus den App Stores meist schwierig zu beurteilen. Es finden sich zwar Indikatoren in den eingeforderten Berechtigungen oder innerhalb der Datenschutzerklärung, allerdings schafft dies auch nur bedingt Gewissheit. Eine Entscheidung über den Einsatz einer App rein auf Basis der Informationen aus dem öffentlichen App Store wird daher zum Wagnis.
Android zeigt die Berechtigungen bereits vor der Installation an, allerdings waren viele Benutzer mit diesen überfordert und so führte es dazu, dass diese seit einiger Zeit in sehr grobe Gruppen zusammengefasst wurden. Hierbei werden z.B. Kontakte und Kalender in eine Gruppe geworfen und bei der Installation gibt der Play Store nur Hinweis darauf, dass auf eins der Elemente möglicherweise zugegriffen wird. Auf den ersten Blick bleibt also zunächst unklar was genau genutzt wird. Ein Zustand der vor allem bei Unternehmen für Unbehagen sorgt.
Unter iOS ist zunächst bei der App Installation unklar welche Berechtigungen überhaupt verlangt werden und erst während der App Benutzung wird nach und nach klar welche Berechtigungen die App einfordert. Ein Vorteil gegenüber Android ist jedoch, dass es möglich ist die Berechtigung zu verweigern und somit der App den Zugriff auf die Daten zu verwehren. Allerdings gilt dies nur für Daten, welche explizit eine Berechtigung benötigen.
In einer von McAfee durchgeführten Untersuchung diverser Android Apps wurde aufgedeckt, welche Informationen von den untersuchten Consumer Apps erhoben werden. Dabei sammelte ein Großteil der Apps Informationen wie die Geräte-ID und den aktuellen Standort. Neben den Apps selbst wurden auch die Werbe-Bibliotheken genauer betrachtet. Einige der häufig verwendeten Werbe-Bibliotheken erhoben dabei wesentlich mehr Nutzerdaten als die eigentlichen Apps in welche diese eingebunden sind [2]. Das Berechtigungskonzept von Android macht es dabei schwierig zu erkennen welche Berechtigung für die eigentlichen App-Funktionen und welche eventuell für das Darstellen von Werbung verwendet werden.

Sicherer Einsatz von Consumer Apps

Wie also ermöglicht man den eigenen Mitarbeitern Consumer Apps zu nutzten und garantiert dennoch ein stabiles Sicherheitsniveau?
Hierfür sind 3 essentielle Schritte notwendig:

  1. Review-/Freigabeprozess
  2. Sicherheitsüberprüfung der Apps
  3. Integration in nachfolgende Systeme und Prozesse

Durch den Review und Freigabeprozess wird es dem Mitarbeiter ermöglicht Apps zu beantragen welche anschließend nach festgelegten Kriterien wie z.B. fachlicher Nutzen, technischen Anforderungen und Kosten beurteilt werden. Sind alle Kriterien erfüllt so erfolgt im nächsten Schritt eine dedizierte Sicherheitsüberprüfung der App. Hierbei wird die App auf ihre sicherheitstechnische Eignung hin geprüft, wobei die individuellen Anforderungen des eigenen Unternehmens berücksichtigt werden. Die daraus resultierende Bewertung sorgt für Gewissheit ob die App im Unternehmen bedenkenlos eingesetzt werden kann. Diese Erkenntnis kann dabei in nachfolgenden Systemen, wie z.B. einem Mobile Device Management, verwendet werden um eine eventuelle Freigabe oder eine Sperrung der App technisch umzusetzen.
Mit diesen drei einfachen Schritten lassen sich auch Consumer Apps im Unternehmen sicher einsetzten.

mTrust App Center zum sicheren Einsatz von Consumer Apps

Das mTrust App Center bietet eine geeignet Lösung um in jedem Unternehmen das Potenzial von Consumer Apps zu entfalten. Über die Weboberfläche lässt sich zu jeder Zeit einsehen welche Apps in Prüfung sind und welche bereits geprüft wurden. Zusätzlich können neue Apps für eine Prüfung beantragt und individuelle Sicherheitsprofile erstellt werden. Die Sicherheitsanforderungen fliesen in die Bewertung mit ein und sorgen somit für ein realitätsnahes Ergebnis.
Welche Sicherheitsanforderungen an Consumer Apps gestellt werden, wie diese geprüft werden und wie das mTrust App Center Sie dabei unterstützt, adressiert unser erst kürzlich veröffentlichtes Whitepaper.

Sichern Sie sich jetzt ein Exemplar unter:
http://mtrust.io/whitepaper/

Quellen:
[1] Apple: App Store Review Guidelines
[2] Mcafee: Mcafee mobile security report

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *